Er bedriftens hjemmeside sårbar for hacker angrep?

Nettsteder har vist seg å være det foretrukne målet for nettangrep. Konsekvensene av å få hjemmesiden hacket kan blant annet være at besøkende på nettsiden blir infisert med malware, tap av trafikk, spredning av sensitive data, omdømmetap og tap av rangering i Google sitt søk.

Global epidemi

Løsepengevirus er blitt en global epidemi. Europol oppfordrer bedrifter til å gjøre en større innsats for å beskytte seg selv.

Alle er et mål for automatiserte angrep

Over 90% av hacker angrep er automatiserte script, som ikke bryr seg ikke om nettstedet tilhører en liten lokal bedriftseier eller en stor bedrift.

Hvem har ansvaret

Dessverre er en vanlig misforståelse hos mange bedriftseiere idag at de tror at webhotell leverandøren de bruker for hjemmesiden, også er ansvarlig for sikkerheten på hjemmesiden. Men normalt håndterer webhotell leverandøren kun sikkerheten på sine servere og infrastrukturen. Bedriften er selv ansvarlig for å håndtere sikkerheten på sin egen hjemmeside.

Du kan sammenligne det med å sikre et kontorbygg. Eiendomsselskapet (eller webhotell leverandøren) har ansvaret for fellesområder, men hver enkelt bedrift (eller nettside eier) har ansvaret for å låse døren og sikre vinduene på sitt eget lokale. Som bedrift er det ditt ansvar å sikre hjemmesiden.

Ofte opplever vi at webhotell leverandører unngår å ta opp dette med sikkerhet av selve hjemmesiden – ofte pågrunn av at det rett og slett ikke er noen god salgspitch for dem å si at de ikke ivaretar dette på en grundig måte eller at ansvarsforholdet på dette ligger hos bedriften selv. Som bedrift er det ikke lett å vite hva slags sikringstiltak som bør være på plass, hva man bør kreve, hva man skal spørre om og hvem som har ansvaret for hva.

Nedenfor følger noen sentrale spørsmål man kan stille for å avklare ansvarsforholdet for sikkerheten på hjemmesiden:

Backup

  • Tar dere regelmessig backup av hjemmesiden idag, eventuelt hva er backup frekvensen?
  • Hvis dere tar backup, blir backup lagret på samme server som hjemmesiden, en annen server eller offline?

Forebyggende tiltak

  • Har dere noe system idag på plass på hjemmesiden vår for å filtrere bort ondsinnet trafikk?
  • Har dere en “audit-trail” av besøkende på hjemmesiden og oversikt over innlogginsforsøk?
  • Har dere idag lagt inn IP begrensninger (IP whitelist) på hvem som kan logge inn gjennom innlogginssiden vår?
  • Blir besøkende fra typiske høy-risiko land idag blokkert til å gå inn på hjemmesiden?
  • Hvis cms, programvare eller plugins ved en feil ikke blir oppdatert, blir kjente sårbarheter virtuelt patchet automatisk fra dere?
  • Varsler dere oss automatisk hvis hjemmesiden vår bli svartelistet av Google, slik at vi ikke oppdager dette tilfeldigvis ved at hjemmesiden er merket med en advarsel fra Google eller er forsvunnet fra Google sitt søk?
  • Hvis hjemmesiden blir infisert med malware og dette er noe man ikke oppdager naturlig, utfører dere noen automatisk skanning idag for å avdekke dette så tidlig som mulig?
  • Hva er responsen deres hvis hjemmesiden vår blir utsatt for et DDoS angrep?

Ansvarsforhold

  • Tar dere ansvar kun for sikkerheten på deres servere og infrastruktur, eller tar også ansvaret for sikkerheten direkte på vår hjemmeside?
  • Hvis hjemmesiden blir hacket eller infisert med malware, faller det praktiske og økonomiske ansvaret på oss eller hos dere for å rydde opp i dette?
  • Hvis sensitiv informasjon / kundeinformasjon blir spredt etter hacking kan GDPR regelverket føre til konsekvenser, hvem har ansvaret for å forebygge dette og eventuelle konsekvenser?
  • Hvis hjemmesiden blir hacket og vi mister rangering i Google sitt organiske søk, tar dere ansvar for å rydde opp i dette?
  • Hvis hjemmesiden blir infisert med spam av søkeord og linker, tar dere ansvar for å rense opp i dette slik at hjemmesiden igjen blir vist riktig hos Google?
  • Hvis hjemmesiden blir hacket og vi blir svartelistet av Google, tar dere ansvar for å ordne opp med Google?
  • Hvem har ansvaret for å oppdatere hjemmesiden med siste versjoner av cms, programvare og plugins, eventuelt hva slags retningslinjer og hyppighet gjelder her hvis dere har ansvaret?
  • Hvis det skjer en glipp slik at cms, programvare eller plugins ikke blir oppdatert, hvem har ansvaret da hvis noe skjer?
  • Hva er deres respons hvis hjemmesiden blir hacket, risikerer vi å bli stengt ned til det blir ordnet?
  • Hvis vår hjemmeside blir hacket slik at vi mister potensielle kunder i en periode, er dere forsikret slik at vi kan bli kompensert økonomisk for dette gjennom dere?

____

Eksisterende leverandør bør kunne svare direkte på punktene ovenfor. Noen ganger opplever vi at kunder har fått generelle svar som for eksempel at “servere er sikret med høyeste grad av sikkerhet” eller at “server infrastrukten er sikret med moderne brannmurer”. Dette kan høres betryggende ut, men dere skal være opptatt av sikkerheten direkte på hjemmesiden deres og ikke på servernivå. Krev derfor konkrete svar fra leverandøren på punktene vi har listet opp.